Cifrado en Azure Backup

  • Artículo

Azure Backup cifra todos los datos de copia de seguridad automáticamente cuando se almacenan en la nube mediante el cifrado de Azure Storage, lo que ayuda a cumplir los compromisos de seguridad y cumplimiento. Los datos en reposo se cifran mediante el cifrado AES de 256 bits, uno de los cifrados de bloques más seguros que hay disponibles y que es compatible con FIPS 140-2. Además, todos los datos de copia de seguridad en tránsito se transfieren a través de HTTPS. y permanecen siempre en la red troncal de Azure.

En este artículo se describen los niveles de cifrado en Azure Backup, que ayudan a proteger los datos de copia de seguridad.

Niveles de cifrado

Azure Backup incluye el cifrado en dos niveles:

Nivel de cifrado Descripción
Cifrado de datos en el almacén de Recovery Services - Uso de claves administradas por la plataforma: todos los datos se cifran mediante claves administradas por la plataforma de manera predeterminada. No es necesario realizar ninguna acción explícita de su parte para habilitar este cifrado. Se aplica a todas las cargas de trabajo de las que se realiza una copia de seguridad en el almacén de Recovery Services.

- Uso de claves administradas por el cliente: al realizar una copia de seguridad de Azure Virtual Machines, puede optar por cifrar los datos mediante las claves de cifrado que posee y administra. Azure Backup le permite usar las claves RSA almacenadas en Azure Key Vault para cifrar las copias de seguridad. La clave de cifrado utilizada para cifrar las copias de seguridad puede ser diferente de la que se usa para el origen. Los datos se protegen mediante una clave de cifrado de datos (DEK) basada en AES 256, que, a su vez, está protegida con las claves del usuario. Esto le proporciona un control total sobre los datos y las claves. Para permitir el cifrado, se requiere que conceda acceso al almacén de Recovery Services a la clave de cifrado en Azure Key Vault. Puede deshabilitar la clave o revocar el acceso siempre que sea necesario. Sin embargo, debe habilitar el cifrado con las claves antes de intentar proteger los elementos en el almacén. Obtenga más información aquí.

- Cifrado de nivel de infraestructura: además de cifrar los datos en el almacén de Recovery Services mediante claves administradas por el cliente, también puede optar por tener una capa adicional de cifrado configurada en la infraestructura de almacenamiento. La plataforma administra este cifrado de infraestructura. Junto con el cifrado en reposo mediante claves administradas por el cliente, permite el cifrado de dos niveles de los datos de copia de seguridad. El cifrado de infraestructura solo se puede configurar si primero elige usar sus propias claves para el cifrado en reposo. El cifrado de infraestructura usa claves administradas por la plataforma para cifrar datos.
Cifrado específico de la carga de trabajo de la que se está realizando una copia de seguridad - Copia de seguridad de máquinas virtuales de Azure: Azure Backup admite la copia de seguridad de VM con discos cifrados mediante claves administradas por la plataforma, así como claves administradas por el cliente que posee y administra. Además, también puede hacer una copia de seguridad de las máquinas virtuales de Azure que tienen el sistema operativo o los discos de datos cifrados mediante Azure Disk Encryption. ADE usa BitLocker para las VM Windows y DM-Crypt para las VM Linux a fin de realizar el cifrado de invitado.

- Se admite la copia de seguridad de base de datos habilitada para TDE. Para restaurar una base de datos cifrada TDE en otra de SQL Server, primero debe restaurar el certificado en el servidor de destino. Está disponible la compresión de copia de seguridad para las bases de datos habilitadas para TDE en SQL Server 2016 y versiones más recientes, pero con un tamaño de transferencia inferior, tal y como se explica aquí.

Pasos siguientes